How online criminals hijack our money

A new technique, more and more widespread, allows cybercriminals to hijack our payments for online purchases to their current accounts: here's how.

It's called "Main In the Mail" and it's a type of hacker attack more and more widespread, aimed to hijack users' payments to a different IBAN from the legitimate one. This technique is now better known, also thanks to a recent service aired on Striscia la Notizia.

In the service, Denis Frati of D3Lab, an Italian cybersecurity company that also collaborates with CERT-AGID, the Computer Emergency Response Team of the Agency for Digital Italy that is directly under the Presidency of the Council of Ministers, explained how this scam works. L’attacco Main In the Mail è una minaccia abbastanza sofisticata, perché va realizzata ad arte e cucita addosso alle vittime e non è un attacco automatizzato. Per spiegarla meglio D3Lab ha pubblicato un post di approfondimento sul suo blog. Ecco come funziona.

Main In the Mail: che vuol dire

Letteralmente “Main In the Mail" vuol dire “uomo in mezzo alle email“: l’hacker, cioè si intromette di nascosto nelle comunicazioni tra venditore e compratore. Lo fa di solito infettando la casella email di chi vende o quella di chi compra.

In questo modo, quando l’acquirente sceglie come metodo di pagamento il bonifico e il venditore invia la fattura, l’hacker (che sta spiando in silenzio la conversazione online tra i due) può intervenire prontamente. Il trucco è semplice: non appena il venditore invia la fattura con l’IBAN corretto, via email, il cybercriminale invia un secondo messaggio contenente una fattura contraffatta.

Nel secondo messaggio il criminale afferma che ci sono state modifiche nella banca di appoggio e che il cliente deve fare il pagamento al nuovo IBAN, che è il suo, e non all’altro, che è invece quello vero del venditore. Il cliente vede che la email proviene dallo stesso indirizzo e si fida, pagando alla persona sbagliata.

Come spiega D3Lab: “se il criminale ha accesso alla casella del venditore, l’invio della fattura alterata avverrà dalla medesima casella di posta, che quindi la vittima riconosce come legittima. If, on the other hand, the cybercriminal has access to the customer's mailbox, he will try to trick him by creating an email address (free or with ad hoc domain) similar to the seller's one, or by camouflaging (spoofing) the address in use with the seller's one".

How to defend yourself against IBAN change

This scam is totally based on the fact that at least one of the two mailboxes has been compromised. The most important thing, therefore, is to protect your email account which, in most cases, is hacked through a phishing site or message.

It is therefore important not to fall into the phishing trap and, possibly, activate two-factor authentication for the email account as well. If someone tries to connect to our box in this way, a warning notification will be sent.